Fuite de données chez Aptoide, au moins 20 millions de comptes exposés
Le 22 avril 2020 à 09h27
2 min
Internet
Internet
Aptoide est, selon Android Police, la plus large boutique d’applications indépendante pour Android, avec 150 millions d’utilisateurs actuellement.
Malheureusement pour ces derniers, le service a été victime d’une large fuite de données, initialement rapportée par Under the Breach sur Twitter le 17 avril.
Le pirate indique avoir récupérer les informations de 39 millions de comptes, avec les détails de 20 millions publiés pour prouver ses dires. Il en garderait donc la moitié en réserve, mais on ne connait pas le degré de véracité de son annonce.
Les informations fournies sont en tout cas réelles et contiennent les adresses email, mots de passe hachés en SHA-1, noms, dates d’anniversaire, statuts de comptes, les adresses IP et l’user agent des victimes. Mais pas pour tous, car sur les 49 millions de comptes touchés, 32 millions ont été créés via Facebook et Google. Auxquels cas le mot de passe n’est pas présent dans la base.
Aptoide cherche actuellement à connaitre le point d’entrée du ou des pirates. Toutes les activités liées aux comptes sont suspendues : création, connexion, critique et commentaire. Quand les fonctions seront réactivées, il sera demandé aux utilisateurs de changer de mot de passe, une procédure classique dans ce genre de cas.
On espère en outre qu'Aptoide reverra à la hausse ses fonctions de hachage, car le SHA-1 n'est plus considéré comme sûr depuis longtemps.
Le 22 avril 2020 à 09h27
Commentaires (21)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 22/04/2020 à 08h30
SHA-1 ?! 
" />
Le 22/04/2020 à 09h36
dont le miens …
et me suis fait du coup péter plein de compte direct après (j’ai été prévenue par firefox)
obliger de modifier plein de comptes :/
oui bon on va me dire de pas mettre le même mdp partout…
mais je cherche une solution de gestion de mdp dispo sur mobile et pc firefox/chrome … (j’ai pas encore chercher mais je demande suis certain qu’il y a des gens qui connaissent le bon outil
Le 22/04/2020 à 09h39
keepass :o
Le 22/04/2020 à 09h57
heu ouai alors non ^^
voudrais un truc qui rempli le mot de passe tout seul ^^
au taff mon secret-server fait ça bien mais c’est un peu lourd (et pas donner) pour la maison xD
Le 22/04/2020 à 09h58
Le 22/04/2020 à 10h00
oui un keepass-xc par exemple
avec clé privée stockée sur un cloud (pour une dispo pour tout tes appareils) et une clé publique sur chacun de tes appareils
Le 22/04/2020 à 10h09
@al_bebert
Bitwarden.
C’est Open Source, et il y a des versions Chrome / Firefox / Android / iOS et tout ce que tu veux.
Pour éviter ce genre de soucis :
Le 22/04/2020 à 10h30
@al_bebert 
Next INpact 
" />
Et on peut rajouter Bitwarden
Le 22/04/2020 à 11h08
Je valide Bitwarden comme évoqué précédemment.
J’y suis passé à partir de LastPass. L’importation a été très simple et j’ai pu avoir des fonctionnalités supplémentaire comme la gestion des numéros de CB.
Sur smartphone (android) le remplissage “automatique” peut aussi se faire sur dans le navigateur ou même dans les applis.
Et pour conclure sur ce qu’indique dolphin42 sur le fait d’avoir mdp différent sur chaque site, un très bon moyen pour commencer étant de se trouver des règles mnémotechniques pour créer simplement un mdp pour chaque site (même si le gestionnaire les retiendra au final au cas où).
Un bon site pour trouver des bonnes pratiques :)
Le 22/04/2020 à 11h10
je connais les bonnes pratiques :)
juste la flemme à titre perso.
le but justement c’est un outil pour générer un mdp aléatoire je vais regarder bitwarden du coup :)
merci à toute cette inpactitude :)
Le 22/04/2020 à 12h15
Bizarre, mon Keepass rempli les mots de passe comme un grand…
Le 22/04/2020 à 12h44
Combien de fois il faudra répéter que le SHA, qu’il soit 1 ou 512, n’est PAS fait pour le hashage de mots de passe et ne doit pas être utilisé pour ça ?
Le 22/04/2020 à 13h09
Le gestionnaire intégré à Firefox fait parfaitement le job…sur Firefox (desktop ou mobile). Il a en plus le bon goût de générer un mdp en 1 clic droit quand nécessaire.
Après si t’as des usages nécessitant 2 navigateurs différents, tu devrais trouver ton bonheur dans les autres outils proposés.
Le 22/04/2020 à 13h22
ouaip firefox fait bien le taff (je savais qu’il pouvais générer par contre !)
mais sur mobile je sais pas pourquoi firefox j’accroche pas :/
j’ai mis en place Bitwarden on va test.
je viens de voir qu’on pouvais l’auto héberger… mais via docker :‘( me gonfle ça les nouveaux trucs ils sont pas foutus de te donner autre chose à manger qu’un docker … du coup obliger de conteneursiser un conteneur … pénible
Le 22/04/2020 à 14h13
Le 22/04/2020 à 15h09
C’est quoi l’intérêt de donner sa date de naissance à une boutique d’applications ?
Le 22/04/2020 à 15h24
Le prétexte : Bloquer l’accès aux applications concernées pour les mineurs.
La réalité : Savoir si l’on doit t’afficher des pubs pour Fortnite, pour “des vielles chaudes dans ta région” ou bien pour des culottes pour fuites urinaires …
Le 22/04/2020 à 15h43
Le 22/04/2020 à 16h55
il existe :)
GitHubbon j’ai une erreur quand j’essaye de le démarrer à cause du web_vault j’ai ouvert une issue sur le github
Le 23/04/2020 à 05h08
Utiliser un magasin d’applications indépendant des GAFAM, mais utiliser Google ou Facebook pour la gestion du compte ?
Faut qu’on m’explique…
Le 23/04/2020 à 10h53
je te confirme que tout fonctionne (cf l’issue sur le github pour corriger l’erreur de web-vault)
mon instance est fonctionnelle :)